第四版
这份报告的主要内容是建立一个以情报为基础的安全计划,并涵盖了安全团队的情报概述、特定应用和工作流程,以及管理和实施问题,如使用情报评估风险、证明投资、建立情报团队等。此外,该文件强调了组织需要转向以情报为基础的安全计划,以预测对手、监测其建筑基础设施并从遭受侵害的组织中学习。该书涵盖了多个主题,如SecOps Intelligence、Vulnerability Intelligence、Brand Intelligence、Geopolitical Intelligence、Fraud Intelligence、Identity Intelligence、Attack Surface Intelligence、风险管理、情报分析框架以及情报数据源/类型等。
前言
这数字化加速和全球大流行加剧了内部、客户和供应链操作的数字化,但同时也让网络安全威胁加剧了。现有的防御策略已经不起作用,防御者必须切换到攻击模式,采用智能驱动的安全方案,预测对手和他们的意图,并从受攻击的组织中获取经验教训。Recorded Future介绍了三个新的情报模块,分别是身份情报、诈骗情报和攻击面情报,并强调情报在安全中的重要性,以及智能情报的实现需要整合既有的解决方案和工作流程。总的来说,这部分强调了数字化时代下的网络安全挑战和情报驱动的应对策略。
第一部分:安全团队的情报是什么?
第1章:安全团队的情报是什么?
理解为什么情报对安全团队很重要
回顾成功情报计划的特征
了解谁从使用情报中获益。
在攻击发生之前了解威胁
网络威胁有多种形式。有外部的威胁、内部的威胁和供应链等等。
当分析师观察到这些威胁的迹象时,可能已经太晚了。
为了防止损害,您需要预先警告威胁,并附有可操作的事实,以便:
在最严重的漏洞被利用之前,优先修补它们
在尽可能早的时刻,以高置度发现探测和攻击
了解可能的攻击者的战术、技术和程序(TTPs),并采取有效的防御措施
识别并纠正业务合作伙伴的安全弱点
检测数据泄露和以企业品牌的钓鱼
在安全方面进行明智的投资,使回报最大化,风险最小化
许多IT组织已经创建了情报系统,以获取保护企业和品牌所需的预警和可操作数据。图1-1列出了显示情报系统在安全性和效率方面的显著改进的指标。
图1-1:情报系统可以在安全性、效率和规模方面产生巨大的改进。(来源:IDC)
情报:可操作的事实和见解
当谈论情报时,有时指的是某些类型的事实(facts)和洞见(insights),有时候则指产生它们的过程。
让我们看看第一种情况。
More than data or information
即使是安全专业人员有时也会交替使用“数据”、“信息”和“情报”,但区别很重要。图1-2突出显示了这些差异。
图1-2:数据、信息和qingbao之间的区别。
数据由离散的事实和统计数据组成,作为进一步分析的基础。
信息由多个数据点组成,这些数据点被组合起来回答特定的问题。
情报是对数据和信息进行分析的结果,它可以揭示模式并为决策制定提供重要的背景信息。